Цифровой след злоумышленника: новые вызовы

Изображение: recraft

Современная парадигма защиты данных перестала быть набором реактивных мер — сегодня это проактивная и превентивная во всех смыслах экосистема, где защита строится на понимании логики злоумышленника. Архитектура защиты отталкивается не от существующих технологий, а формируется вокруг новых фиксируемых паттернов атак и цифровых следов, которые оставляют нарушители. Рассмотрим, как бизнес адаптируется к актуальным киберугрозам, интерпретируя данные из инцидент-аналитики, формируя каркас для защиты от потенциальных угроз с утечками и шифровальщиками.

Цифровой след нарушителя в контексте внешней поверхности атаки (External Attacker — Attack surface)

Внешняя поверхность атаки — это совокупность точек взаимодействия компании с внешней средой, которые могут быть использованы злоумышленником для проникновения: публичные сервисы, API, веб-приложения, облачные ресурсы, VPN, DNS-серверы и даже сотрудники (через социальную инженерию).

Цифровой след нарушителя в этом контексте — это данные, остающиеся после его активности на этих точках. Анализ таких следов позволяет выявлять TTPs (тактики, техники, процедуры), прогнозировать угрозы и закрывать уязвимости. Основа моделирования угроз (Threat Modeling) базируется на коллекционировании формируемых цифровых следов со средств защиты:

• Сетевой трафик на NTA: аномальные объёмы запросов к API (сканирование на уязвимости OWASP API Top-10).
• Метаданные атак: обнаружение ботов по шаблонам User-Agent (например, Python-Requests/2.28.0).
• IoCs: сигнатуры эксплойтов (например, SQL-инъекции) или C2-домены (MISP).
• Поведенческие аномалии: запуск легитимных инструментов (например, nmap) в нетипичном контексте (Запуск nmap → попытка доступа к серверу (например, RDP)).
• Артефакты: остатки эксплойтов в логах веб-серверов (PHP-скрипт с бэкдором для выполнения произвольных команд с подозрительными функциями в теле запроса).

Если основываться на формируемом цифровом следе в контексте киберугроз 2025 года, классификация атакующих не будет значительно отличаться от злоумышленников из прошлых трендов:

• АРТ-группировки с геополитическими мотивами, придерживающиеся цели дестабилизировать крупные компании и целые государства, а также получить финансовую выгоду.
• Хактивисты, сторонники идеологической войны, действующие по политическим и социальным соображениям.
• Киберпреступники с финансовой мотивацией.

В большинстве случаев злоумышленники строят классическую цепочку атак, состоящую из этапов MITRE ATTACK:

📷

Если сценарии атак имеют условно прозрачные паттерны, что же сложного в их обнаружении и почему компании ежедневно страдают от атак, а даркнет пополняется новыми предложениями о продаже скомпрометированных данных еженедельно?

Дьявол кроется в деталях: совершенствующихся инструментах, комбинациях социальной инженерии и продвинутых техник сокрытия вредоносного воздействия и, конечно же, в остроте мышления злоумышленника, желающего наживы. APT-группировки действуют годами, длительно изучают жертву, а внедряются через контрагентов.

Для киберпреступников доступны услуги Ransomware-as-a-Service и Malware-as-a-Service от поставщиков в киберподполье, которые готовы предоставлять «коробочные» решения и упрощать процесс проведения атак для желающих. В то же время генеративный ИИ выступает как подспорье в проработке собственных инструментов и генерации идей атакующих.

Но дело не только в технологичных инструментах и продвинутых техниках, ошибки-первопричины сокрыты на стороне жертвы; куда чаще виноват «человеческий фактор»:

1. Некорректная настройка средств защиты: шум в SIEM, пропажа логов, несовершенства конфигурирования EDR/XDR и покрытие агентами не всех хостов в огромной инфраструктуре.
2. Многокомпонентность ландшафта инфраструктуры формирует барьеры в мониторинге поверхности атаки: зависимость от подрядчиков при использовании IaaS-, SaaS-, PaaS-решений, облаков (нехватка логов безопасности), а также нетривиальная архитектура контейнеров и микросервисов.
3. Трудности в обновлении всего парка ПО: сниженная скорость патчинга уязвимостей нулевого дня и труднодоступные условия для обновления критичных сервисов, расширяющие пространство для атак. «Злоумышленнику достаточно найти одну уязвимость — защитнику нужно закрыть все».
4. Некорректная конфигурация и ошибки при администрировании сервисов: тестовые или устаревшие неконтролируемые сервисы, открытые порты и ошибки в WAF, недокументированные API.
5. Высокая эффективность психологического давления на пользователей — успешность социальной инженерии: фишинг обходит технические меры защиты, в то время как ряд атак развивался после нажатия на вредоносную ссылку в письме.

Современные средства защиты эффективны, но не всесильны: в списке проблем человеческий фактор, недоработки администраторов средств защиты, быстрое прогрессирование технологий генеративного ИИ и разветвлённая, трудно контролируемая инфраструктура.

Классический внешний злоумышленник в 2025 году — это гибрид разведывательной и преступной структуры с высокими техвозможностями, глубоким пониманием локального контекста и доступом к уникальным ресурсам. Часто ассоциирован с государственными структурами недружественных стран. Таргеты: ТЭК, энергетика, телекоммуникации, ритейл.

Цифровой след внутреннего нарушителя (Insider Attack)

• Первый контекст, Client Data Breacher — эксфильтрация клиентских данных по классическим каналам утечки, детектируемых основным функционалом DLP.

Стереотипный Client Data Breacher имеет нетехнический бэкграунд, но широко осведомлён о существующих бизнес-процессах внутри компании (например, офисный работник, бухгалтер, менеджер продаж). Это обосновано рядом факторов, сокрытых в психоэмоциональной обстановке внутри всей иерархии компании — вплоть до топ-менеджмента. Медленно назревающие обиды на руководство или коллег по подразделению, расхождение личного мнения с идеологией компании, а также давление извне может формировать взрывную бомбу необдуманных действий.

Базовые уровни доступа классического инсайдера предполагают возможность «дотянуться» к конфиденциальным данным в информационных системах (CRM, 1C) и внутренним файловым шарам. Закономерно они имеют полное представление об актуальной базе клиентов компании, которых предпочитают называть «своими клиентами».

Такие сотрудники не отключают EDR/АВЗ/DLP, но имеют явное представление о лазейках — так или иначе, сотрудники иногда отправляют за периметр корпоративной сети нужные им сведения без последствий (почти незаметно).

Поведенческие черты Client Data Breacher:

• Low and Slow: работает медленно, но пытается сохранять невозмутимость перед руководством;
• Понимает бизнес-процессы, но не знает тех. деталей СрЗИ (действует вслепую);
• Может пересылать по несколько документов в течение недели и не шуметь в алертах;
• Не использует вредоносное ПО и продвинутые тулзы (не запускает скрипты и исполняемые файлы);
• Хочет унести «нажитое» имущество (индикаторы близости увольнения).

Топ-3 каналов утечки Client Data Breacher:

• Корпоративная почта (отправка на личную почту);
• Облачное хранилище;
• Telegram / WhatsApp Web и Desktop.

Он не ломает системы и средства защиты, использует доверие и базовые бизнес-процессы.

• Второй контекст, Advanced Technical Insider — эксфильтрация конфиденциальных данных по неклассическим каналам утечки, не детектируемым основными возможностями DLP. Сценарий, который прорабатывают при проектировании системы защиты от утечек информации и иной злонамеренной активности.

Продвинутый инсайдер с техническими скиллами Advanced Technical Insider может действовать методично и длительно, а мотивов может набраться порядка трёх сознательных: увольнение, конфликт или ощущение несправедливости. Целью действий является желание нанести вред сознательно, в отдельных случаях — забрать наработки с собой. Подобный инсайдер знаком с техническими процессами компании и имеет доступ к критичным системам, БД, сетям, исходному коду и админ. панелям (например, системный администратор, разработчик, архитектор).

Технические навыки предполагают понимание сетей и операционных систем, владение инструментами администрирования и мониторинга, знание особенностей работы средств защиты и умение маскировать действия под легитимной активностью.

Поведенческие черты Advanced Technical Insider:

• Систематический поиск и доступ к документам, выходящим за рамки текущих задач: схемы сетей, политики безопасности, документация DLP/SIEM, списки критичных активов.
• Использование известных уязвимостей во внутренних системах, которые не патчатся из-за «боязни сломать» (легитимный предлог). Эксплуатация доверенных отношений между системами/сервис-аккаунтами.
• Разбивка БД на мелкие части, сжатие с паролем, переименование в легальные форматы (.log, .tmp).
• Использование нестандартных протоколов (DNS, ICMP), HTTPS через личные облака, шифрование трафика (SSH-туннели, VPN).
• Загрузка данных на внешние носители под видом «резервного копирования» или передача через разрешенные API.
• Выполнение вредоносных действий одновременно с рутинными задачами (например, вывоз данных во время еженедельного бэкапа, запуск эксплойта в момент установки обновлений).
• Низкий «шум»: минимизация триггеров для базовых правил SIEM/DLP.

Продвинутый технический инсайдер — это «волк в овечьей шкуре» внутри организации. Его главное оружие — легитимный доступ, глубокие знания инфраструктуры и систем защиты, а также умение скрывать свою вредоносную деятельность под видом нормальной работы.

Резюмируя

Борьба с любым типом злоумышленников требует продвинутого UEBA с машинным обучением (анализ отклонений от персональной и ролевой базы поведения), аудита привилегированных сессий, анализа сетевых аномалий (даже в разрешённом трафике), контентного анализа DLP и человеческой экспертизы при расследовании.

📷

Автор: Ирина Дмитриева, киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис».

Оригинал публикации на сайте CISOCLUB: "Кто такие нарушители ИБ: портрет современных злоумышленников".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.